[[435071]]

據(jù)研究人員稱，三個(gè)不同的威脅組織都在使用一個(gè)共同的初始訪問代理(IAB)來發(fā)起網(wǎng)絡(luò)攻擊——這一發(fā)現(xiàn)揭露了一個(gè)由相關(guān)攻擊基礎(chǔ)設(shè)施組成的錯綜復(fù)雜的網(wǎng)絡(luò)，支持不同的(在某些情況下是互相競爭的)惡意軟件活動。

黑莓研究與情報(bào)團(tuán)隊(duì)發(fā)現(xiàn)，被稱為MountLocker和Phobos的勒索軟件組織，以及StrongPity高級持續(xù)威脅(APT)，都與黑莓稱之為Zebra2104的IAB威脅參與者合作。

IAB通過漏洞利用、憑證填充、網(wǎng)絡(luò)釣魚以及其他方式破壞各種組織的網(wǎng)絡(luò)，然后建立持久的后門以維持訪問。接著，他們將訪問權(quán)出售給各種暗網(wǎng)論壇上出價(jià)最高的人。隨后，這些“客戶”將使用該訪問權(quán)限進(jìn)行后續(xù)攻擊，例如間諜活動、僵尸網(wǎng)絡(luò)感染或勒索軟件攻擊。據(jù)黑莓稱，進(jìn)入大型企業(yè)，這種訪問的價(jià)格從25美元到數(shù)千美元不等。

“這一發(fā)現(xiàn)為我們了解IAB的歸屬提供了一個(gè)很好的機(jī)會。”該公司在周五的一篇帖子中指出。“執(zhí)行情報(bào)關(guān)聯(lián)可以幫助我們更清楚地了解這些不同的威脅團(tuán)體如何建立伙伴關(guān)系并共享資源以實(shí)現(xiàn)其邪惡的目標(biāo)。”

交織的基礎(chǔ)設(shè)施服務(wù)于Cobalt Strike

當(dāng)黑莓研究人員觀察到一個(gè)為Cobalt Strike信標(biāo)服務(wù)的單一web域(trashborting[.]com)時(shí)，Zebra2104的第一個(gè)線索就出現(xiàn)了。信標(biāo)能夠執(zhí)行PowerShell腳本、記錄擊鍵、截取屏幕截圖、下載文件和生成其他有效負(fù)載。

trashborting.com域名已于2020年7月注冊，其電子郵件地址為ProtonMail (ivan.odencov1985[at] ProtonMail [.]com)，該地址還用于在同一天注冊另外兩個(gè)姐妹域名。其中之一是supercombinating[.]com。今年3月，該網(wǎng)站被Sophos列為MountLocker勒索軟件即服務(wù)組織的妥協(xié)指標(biāo)(IOC)。

自2020年7月問世的MountLocker利用Cobalt Strike信標(biāo)在受害者網(wǎng)絡(luò)中橫向傳播勒索軟件。Sophos的研究人員觀察到supercombinating[.]com被用作該組織某項(xiàng)活動的Cobalt Strike服務(wù)器。

黑莓研究人員隨后發(fā)現(xiàn)了自2012年以來一直存在的StrongPity APT的鏈接，它使用水坑攻擊(并結(jié)合使用模仿網(wǎng)站和重定向)來提供各種常用實(shí)用程序的木馬化版本，例如WinRAR、互聯(lián)網(wǎng)下載管理器和CCleaner。

黑莓研究人員解釋說：“我們注意到supercombinating[.]com也被解析為IP地址91.92.109[.]174，它本身就托管了域名mentiononecommon[.]com。”“在2020年6月，思科的Talos Intelligence報(bào)告了作為StrongPity C2服務(wù)器的mentiononecommon[.]com。該域還提供了三個(gè)與StrongPity相關(guān)的文件，其中一個(gè)是Internet下載管理器實(shí)用程序的特洛伊木馬化版本。”

但這還不是全部。通過DFIR報(bào)告的一條推文，我們看到supercombinating[.]com部署了更多勒索軟件，但它不是我們之前看到的MountLocker。這一次，Phobos勒索軟件取而代之，我們通過鏈接的Any.Run沙盒報(bào)告證實(shí)了這一點(diǎn)。

Phobos是一種勒索軟件變種，于2019年初首次出現(xiàn)。它被認(rèn)為是基于Dharma勒索軟件家族。與許多其他勒索軟件運(yùn)營商為大型“鯨魚”型組織提供服務(wù)不同，Phobos一直在為各行各業(yè)的中小型組織提供服務(wù)，其在2021年7月份收到的平均贖金約為54,000美元。關(guān)于作者為什么為他們的勒索軟件選擇這個(gè)名字，一個(gè)可能的見解是，Phobos是古希臘神話中的恐懼之神。很少有惡意軟件組織如此直接地表達(dá)他們似乎想要灌輸給受害者的感覺。

還值得注意的是：研究人員還能夠?qū)rashborting[.]com鏈接到Microsoft之前記錄的惡意垃圾郵件基礎(chǔ)設(shè)施。它參與了Emotet和Dridex活動，以及2020 年9月針對澳大利亞政府和私營部門實(shí)體的網(wǎng)絡(luò)釣魚活動。

相關(guān)威脅組或供應(yīng)鏈證據(jù)?

使用通用基礎(chǔ)設(shè)施來支持如此多的不同活動給黑莓團(tuán)隊(duì)提出了問題，首先是競爭對手的勒索軟件產(chǎn)品。

“MountLocker和Phobos可能有關(guān)系嗎?兩個(gè)不同的勒索軟件組織是否在同一個(gè)基礎(chǔ)設(shè)施上運(yùn)行?”研究人員想知道。“這個(gè)新信息提出了一個(gè)難題。如果MountLocker擁有基礎(chǔ)設(shè)施，那么另一家勒索軟件運(yùn)營商也利用它工作的可能性很小。”

以得到一些國家支持而專門從事間諜活動的StrongPity為例，其動機(jī)與投機(jī)取巧、出于經(jīng)濟(jì)動機(jī)的勒索軟件團(tuán)伙不一致，使訴訟程序更加令人頭疼。

“三個(gè)看似無關(guān)的威脅團(tuán)體使用和共享重疊的基礎(chǔ)設(shè)施。針對這種情況，最合理的解釋是什么?”研究人員說。“我們得出的結(jié)論是，這不是三個(gè)小組共同完成的工作，而是第四個(gè)參與者的工作;我們稱之為Zebra2104的IAB，它提供了對受害者環(huán)境的初始訪問。”

為支持這一理論，黑莓指出，所有相關(guān)域都解析為由同一保加利亞自治系統(tǒng)編號(ASN)提供的IP，該編號屬于Netera有限公司。

“眾所周知，Neterra并不是一個(gè)萬無一失的托管服務(wù)提供商;更有可能的是，它是被濫用以促進(jìn)這種惡意活動的，”報(bào)告稱。“所有這些IP都在同一個(gè)ASN上，這一事實(shí)幫助我們將這一理論聯(lián)系在一起，即這實(shí)際上是一個(gè)威脅組織的工作，為其出售訪問權(quán)的集團(tuán)的運(yùn)作奠定了基礎(chǔ)。”

蓬勃發(fā)展的初始訪問市場

Zebra2104支持的網(wǎng)絡(luò)攻擊組織可能比參與這項(xiàng)初步調(diào)查的組織多得多，尤其是對基礎(chǔ)設(shè)施進(jìn)行額外的研究發(fā)現(xiàn)，這是一個(gè)錯綜復(fù)雜、分布廣泛的機(jī)構(gòu)。。

例如，在7月份注冊的兩個(gè)新域(ticket-one-two[.]com和booking-sales[.]com)被認(rèn)為與trashborting[.]com (87.120.37[.]120)解析到了相同的IP地址。根據(jù)黑莓的說法，進(jìn)一步檢查表明booking-sales[.]com提供了“一個(gè)特定的注意事項(xiàng)”：一個(gè)13KB的小型可移植可執(zhí)行文件(PE)，被證明是一個(gè)shellcode加載器。這個(gè)加載器被證明加載了一個(gè)shellcode Cobalt Strike DNS stager，它用于通過DNS TXT記錄下載Cobalt Strike信標(biāo)。

今年6月，Proofpoint報(bào)告稱，至少有10名威脅行為者在主要的暗網(wǎng)論壇上提供初始訪問服務(wù)，使用惡意電子郵件鏈接和附件來植入像TrickBot這樣的木馬程序來建立后門。Proofpoint發(fā)現(xiàn)，在2021年上半年發(fā)現(xiàn)的惡意軟件中，約有20%的惡意軟件以這種方式滲透到網(wǎng)絡(luò)中。

黑莓警告說，這種趨勢預(yù)計(jì)在新的一年里會繼續(xù)擴(kuò)大。

研究人員總結(jié)道：“當(dāng)我們在整個(gè)調(diào)查過程中深入研究并剝離每個(gè)重疊層時(shí)，有時(shí)似乎我們只是觸及了此類合作的皮毛。”“毫無疑問，有一群威脅組織在相互勾結(jié)……可以肯定的是，這些威脅組織好的‘商業(yè)伙伴關(guān)系’將在未來變得更加普遍。”

​本文翻譯自：https://threatpost.com/zebra2104-initial-access-broker-malware-apts/176075/如若轉(zhuǎn)載，請注明原文地址。